Построение системы защиты территориальной информационной системы и функционирование в виртуальной среде

ВВЕДЕНИЕ

В настоящее время с развитием информационных технологий появляются возможности обработки больших массивов информации. Общество всецело зависит от получаемых, обрабатываемых и передаваемых данных. По этой причине данные сами по себе приобретают высокую ценность. Объектом обработки данных становится финансовая информация, информация, составляющая коммерческую тайну, а также данные о личной жизни и состоянии здоровья людей. Утечка информации, содержащей коммерческую тайну, может привести к прямым убыткам, а в некоторых случаях поставить под угрозу само существование организации. Все чаще становятся известными случаи, когда утечка персональной информации приводила к совершениям неправомерных операций злоумышленниками (выдача кредитов, снятие наличных средств). Недостаточная защищенность электронных учетных записей также зачастую приводит к утечкам денежных средств со счетов граждан. Все вышесказанное показывает актуальность внедрения технологий защиты информации во все сферы, связанные с работой в автоматизированных системах.
Цель дипломной работы заключается в построении проекта системы защиты информации в виртуальной среде центра обработки данных на примере автотранспортного предприятия.
Объект исследования: ООО «Автотранс-Новосибирск».
Предмет исследования: система информационной безопасности ООО «Автотранс-Новосибирск».
Специфика деятельности исследуемого предприятия такова, что для полноценного функционирования информационной системы требуется доступ к единой информационной базе с нескольких филиальных площадок, а также в режиме мобильного доступа. Для реализации данной задачи необходима организация системы защиты от сетевых угроз, а также построение полноценной системы защиты информации в виртуальной среде центра обработки данных.
В рамках выполнения дипломной работы мной были выполнены следующие задачи:
- анализ системы информационной безопасности ООО «Автотранс-Новосибирск»;
- анализ исполнения требований федерального законодательства в области информационной безопасности специалистами ООО «Автотранс-Новосибирск»;
- построение модели угроз безопасности;
- анализ структуры информационной системы в условиях центра обработки данных;
- анализ документационного обеспечения системы информационной безопасности;
- анализ системы защиты от сетевых угроз в условиях центра обработки данных предприятия;
- формулировка предложений по совершенствованию системы информационной безопасности центра обработки данных.
Проведена разработка организационных мероприятий по обеспечению информационной безопасности, сформулированы предложения по совершенствованию технологии защиты информации.
Потребность предприятия в аудите системы информационной безопасности обусловлена требованиями законодательства в области информационной безопасности, ростом числа угроз информационной безопасности, необходимостью выработки политики информационной безопасности на предприятии.
Методы исследования: изучение литературных источников, нормативно-правовой базы, изучение технической документации средств защиты информации, анализ состояния работы с персональными данными, сравнения, включенного наблюдения.

ОГЛАВЛЕНИЕ

ВВЕДЕНИЕ 6
1 Аналитическая часть 8
1.1. Технико-экономическая характеристика предметной области и предприятия 8
1.2. Анализ рисков информационной безопасности 11
1.2.1. Идентификация и оценка информационных активов 11
1.2.2. Оценка уязвимостей активов 15
1.2.3 Оценка угроз активам 17
1.2.4.Оценка существующих и планируемых средств защиты виртуальной среды в центре обработки данных 27
1.2.5.Оценка рисков 33
1.3.Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии 35
1.3.1. Анализ системы обеспечения информационной безопасности и защиты информации 36
1.3.3.Выбор комплекса задач обеспечения информационной безопасности центра обработки данных 40
1.3.3.Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации 42
1.4.Выбор защитных мер 43
1.4.1.Выбор организационных мер 43
1.4.2.Выбор инженерно-технических мер 46
2 Проектная часть 48
2.1. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. 48
2.1.1. Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия 48
2.1.2. Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия 57
2.2. Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия 64
2.2.1 Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия 64
2.3.2. Предложения по совершенствованию системы информаицонной безопасности 69
3 Выбор и обоснование методики расчёта экономической эффективности 74
3.1 Выбор и обоснование методики расчёта экономической эффективности 74
3.2 Расчёт показателей экономической эффективности проекта 78
4. Безопасность жизнедеятельности 83
4.1. Задачи и права федеральной службы "Ростехнадзора" 83
4.2. Разработка, учет и пересмотр инструкций по охране труда в организации 87
ЗАКЛЮЧЕНИЕ 91
СПИСОК ЛИТЕРАТУРЫ 93

 

ЗАКЛЮЧЕНИЕ

В рамках данной работы был проведен аудит организации защиты информации на примере центра обработки данных ООО «Автотранс-Новосибирск», проведена оценка рисков, угроз активам.
Рассмотрены теоретические основы и нормативная база систем информационной безопасности. Определен перечень информации, отнесенной к разряду персональных данных, перечень документов, образующихся в работе организации, работающих с персональными данными. Рассмотрена классификация типов конфиденциальной информации по методике ФСТЭК, защищенности автоматизированных информационных систем, проанализировано документационное и организационное обеспечения выполнения требований законодательства относительно определенного класса конфиденциальности информации.
Проведен анализ организации процесса защиты информации применительно к структуре ООО «Автотранс-Новосибирск». Приведена модель угроз безопасности конфиденциальной информации, для каждого из типов угроз. Для автоматизированной системы ООО «Автотранс-Новосибирск» определен класс обрабатываемых персональных данных и класс защищенности информационной системы. Проанализировано выполнение требований, предъявляемых к автоматизированной информационной системе данного класса. Проанализирован перечень документов, обеспечивающих организационно-технические меры по защите персональных данных, рассмотрены технологические решения в виде программно-аппаратных средств.
В ходе проведения аудита информационной системы установлено, что класс обрабатываемых персональных данных в информационной системе предприятия относится по классификации ФСТЭК к классу К3, а информационная система обработки данных к классу 1Г. В соответствии с требованиями, предъявляемыми законодательством к данному классу информационных систем необходимо проведения ряда организационных мер по защите персональных данных. Необходимо наличие документационного обеспечения согласно перечню, утвержденному действующим законодательством. Согласно данным требованиям проведен анализ имеющегося документационного обеспечения, а также организационных и технологических мер по защите персональных данных. Показано, что документационное и программно-техническое обеспечение работы с персональными данными соответствует требованиям действующего законодательства. Показано, что действующая информационная система ООО «Автотранс-Новосибирск» не имеет целостного подхода к защите информационных ресурсов – политики защиты информации на каждом информационном ресурсе уникальны, что увеличивает трудозатраты специалистов на выполнение требований защиты информации, снижая общую защищенность системы.
После анализа документационного обеспечения защиты информации сделан вывод о чрезмерности количества документации различного типа. Показано, что одни и те же организационные процессы могут регламентироваться различными документами, зачастую противоречащими друг другу. Для оптимизации работы с документацией в области защиты информации необходима разработка единого документа, содержащего требования по защите информации в структуре ООО «Автотранс-Новосибирск».
Результатом работы проекта явилась выработка предложений по совершенствованию системы защиты информации исследуемого предприятия.

СПИСОК ЛИТЕРАТУРЫ

1. Бабаш, А.В. Информационная безопасность. Лабораторный практикум: Учебное пособие / А.В. Бабаш, Е.К. Баранова, Ю.Н. Мельников. - М.: КноРус, 2013. - 136 c.
2. Баймакова, И.А.. Обеспечение защиты персональных данных/И.А.Байсмакова – М.: Изд-во 1С-Паблишинг, 2010. – 216 с.
3. Гафнер, В.В. Информационная безопасность: Учебное пособие / В.В. Гафнер. - Рн/Д: Феникс, 2010. - 324 c.
4. Громов, Ю.Ю. Информационная безопасность и защита информации: Учебное пособие / Ю.Ю. Громов, В.О. Драчев, О.Г. Иванова. - Ст. Оскол: ТНТ, 2010. - 384 c.
5. Емельянова, Н.З.. Защита информации в персональном компьютере/ Н.З. Емельянова, Т.Л. Партыка, И.И. Попов. – М.: Форум, 2009. – 368 с.
6. Ефимова, Л.Л. Информационная безопасность детей. Российский и зарубежный опыт: Монография / Л.Л. Ефимова, С.А. Кочерга. - М.: ЮНИТИ-ДАНА, 2013. - 239 c.
7. Завгородний, В.И. Комплексная защита в компьютерных системах: Учебное пособие/ В.И.Завгородний. – М.: Логос; ПБОЮЛ Н.А.Егоров, 2001. - 264 с.
8. Корнеев, И.К. Защита информации в офисе/И.К. Корнеев, Е.А. Степанов. – М.: ТК Велби, Проспект, 2012. – 336 с.
9. Максименко, В.Н. Защита информации в сетях сотовой подвижной связи/В.Н. Максименко, В.В. Афанасьев, В.В. Волков. – М.: Горячая Линия - Телеком, 2007. – 360 с.
10. Малюк, А.А, Введение в защиту информации в автоматизированных системах/А.А.Малюк, С.В. Пазизин, Н.С. Погожин. – М.: Горячая Линия - Телеком, 2011. – 146 с.
11. Малюк, А.А. Информационная безопасность. Концептуальные и методологические основы защиты информации. Учебное пособие/ А.А.Малюк – М.: Горячая Линия - Телеком, 2004. – 280 с.
12. Партыка, Т.Л. Информационная безопасность: Учебное пособие / Т.Л. Партыка, И.И. Попов. - М.: Форум, 2012. - 432 c.
13. Петраков, А.В. Основы практической защиты информации. Учебное пособие/ А.А.Петраков – М.: Солон-Пресс, 2005. – 384 с.
14. Петров, С.В. Информационная безопасность: Учебное пособие / С.В. Петров, И.П. Слинькова, В.В. Гафнер. - М.: АРТА, 2012. - 296 c.
15. Семененко, В.А. Информационная безопасность: Учебное пособие / В.А. Семененко. - М.: МГИУ, 2010. - 277 c.
16.
17. Хорев, П.Б. Методы и средства защиты информации в компьютерных системах/ П.Б.Хорев. – М.: Академия, 2008. – 256 с.
18. Хорев, П.Б. Программно-аппаратная защита информации/П.Б.Хорев. – М.: Форум, 2009. – 352 с.
19. Шаньгин, В.Ф. Комплексная защита информации в корпоративных системах/ В.Ф.Шаньгин. – М.: Форум, Инфра-М, 2010. – 592 с.
20. Шаньгин, В.Ф. Информационная безопасность компьютерных систем и сетей: Учебное пособие / В.Ф. Шаньгин. - М.: ИД ФОРУМ, НИЦ ИНФРА-М, 2013. - 416 c.
21. Ярочкин, В.И. Информационная безопасность: Учебник для вузов / В.И. Ярочкин. - М.: Акад. Проект, 2008. - 544 c.
22. Акулов, О. А., Медведев, Н. В. Информатика. Базовый курс: учебник / О. А. Акулов, Н. В. Медведев. – Москва: Омега-Л, 2009. – 557 с.
23. Велихов, А. С. Основы информатики и компьютерной техники: учебное пособие / А. С. Велихов. – Москва: СОЛОН-Пресс, 2007. – 539 с.
24. Гвоздева, В. А. Информатика, автоматизированные информационные технологии и системы: учебник / В. А. Гвоздева. – Москва: Форум: Инфра-М, 2011. – 541 с.
25. Информатика: учебник для студентов вузов, обучающихся по специальности 080801 "Прикладная информатика" и другим экономическим специальностям /[В. В. Трофимов и др.] ; под ред. проф. В. В. Трофимова.-М.: Юрайт, 2010.-910 с.
26. Информационные системы и технологии в экономике и управлении: [учеб. для вузов по специальности "Прикладная информатика (по обл.)" и др. экон. специальностям] /[В. В. Трофимов и др.] ; под ред. В. В. Трофимова.-М.: Высш. образование, 2010.-480 с.
27. Информационные технологии: [учеб. для студентов вузов, обучающихся по специальности 080801 "Прикладная информатика" и др. экон. специальностям /В. В. Трофимов и др.] ; под ред. проф. В. В. Трофимова.-М.: Юрайт, 2009.-624 с.
28. Исаев, Г.Н. Информационные технологии: Учебное пособие / Г.Н. Исаев. - М.: Омега-Л, 2013. - 464 c.
29. Карпова, И.П. Базы данных: Учебное пособие / И.П. Карпова. - СПб.: Питер, 2013. - 240 c.
30. Кириллов, В.В. Введение в реляционные базы данных.Введение в реляционные базы данных / В.В. Кириллов, Г.Ю. Громов. - СПб.: БХВ-Петербург, 2012. - 464 c.
31. Ростехнадзор. Основные задачи. [Электронный ресурс]. Режим доступа: http://www.bestpravo.ru/rossijskoje/kz-dokumenty/h4w.htm